Teknoloji şirketleri, finans firmaları ve kolluk kuvvetlerinin Trickbot botnet’i indirmeye çalışmasından bir yıldan fazla bir süre sonra, yeni analize göre kötü amaçlı yazılımın arkasındaki grup, siber suç platformunu diğer, daha modern saldırı araçları lehine emekli ediyor gibi görünüyor.
Tehdit istihbarat firması Intel 471 tarafından bu hafta yayınlanan yeni bir rapora göre, 2020’nin sonundaki kesintinin ardından, Trickbot kampanyaları 2021 boyunca ara sıra kırpıldı. Ancak, enfeksiyonlar yılın son çeyreğinde Trickbot kontrollü makineler yerine diğer makinelerin yüklenmesiyle azaldı. Emotet ve Conti gibi programlar. Örneğin Aralık ayında, Trickbot grubu kötü amaçlı yazılım için önceki aydaki sekiz güncellemeden üç güncelleme yayınladı. 28 Aralık’tan sonra Intel 471, kötü amaçlı yazılım için başka bir güncelleme belgelemedi.
Intel 471’de araştırmacı olan Greg Otto, geçişin Trickbot operatörlerinin stratejilerini değiştirdiğini ve Emotet botnet operatörleriyle daha yakın çalıştığını gösterdiğini söylüyor.
Otto, “Açık kaynak raporlamasının Trickbot’un 400 kadar kişiyi “işe aldığı” tahmininde bulunduğu göz önüne alındığında, grup muhtemelen operasyonlarını durdurmuyor” diyor. “Grubun kötü amaçlı yazılımını iyileştirmesi ve muhtemelen farklı bir takma ad altında yeniden yüzeye çıkması daha olası.”
Trickbot ve Emotet gruplarının birlikte daha yakın çalıştığını fark eden tek şirket Intel 471 değil. Kasım 2021’de güvenlik firması Check Point Software Technologies, Trickbot bulaşmış 140.000’den fazla makinenin Emotet kötü amaçlı yazılımını diğer sistemlere yaymaya başladığını ve Ocak 2021’de kolluk kuvvetleri tarafından çok uluslu bir yayından kaldırmanın ardından Emotet enfeksiyonlarında bir artışa neden olduğunu fark etti.
Emotet’in yayından kaldırılması, ABD Siber Komutanlığı, Microsoft ve Finansal Hizmetler Bilgi Paylaşım ve Analiz Merkezi’nin (FS-ISAC) Ekim 2020’de Trickbot’u bozmaya yönelik çabalarını izledi. Ancak kolluk kuvvetlerine yönelik çabalar devam etti: Eylül ayında, yetkililer Kore’de bir Rus vatandaşını tutukladı Trickbot grubuna yardım eden geliştiricilerden biri olma şüpheleri üzerine. Ve Trickbot’un arkasındaki siber suçluların gevşek organizasyonu hakkında daha fazla ayrıntı, ABD Adalet Bakanlığı’nın gruba dahil olan bir Letonya vatandaşına karşı suçlamada bulunduğu geçen Haziran ayında ortaya çıktı. İddianamede, Dyre botnet olarak bilinen eski bir operasyonun üyelerinin 2015 yılında kovuşturulmamasının, grubun reform yapmasına ve Trickbot grubunun temellerini oluşturmasına nasıl izin verdiği anlatıldı.
Şimdi, gruba göre, grup tekrar çizgilerini değiştiriyor gibi görünüyor. Intel 471’in analizi.
Şirket, danışma belgesinde “Intel 471 onaylayamıyor, ancak Trickbot operatörlerinin, Trickbot kötü amaçlı yazılımını Emotet gibi diğer platformlar lehine operasyonlarından aşamalı olarak çıkarmış olmaları muhtemel” dedi. “Sonuçta Trickbot, büyük ölçüde güncellenmemiş nispeten eski kötü amaçlı yazılımdır. Algılama oranları yüksektir ve bot iletişiminden gelen ağ trafiği kolayca tanınır.”
Görünüşe göre Trickbot yeni sistemlere bulaşmak için kampanyasını durdurmuş olsa da, şu anda güvenliği ihlal edilen bilgisayarlar hala birbirleriyle iletişim kuruyor ve web sitelerine enjekte edilebilecek kodlardan Emotet ve Qbot gibi diğer kötü amaçlı yazılım programlarına kadar yeni kötü amaçlı işlevler ve programlar yüklüyor. Intel 471 raporuna göre.
Rapora göre, “Kampanyaların kendisi sessiz olsa da, Trickbot’a bağlı komuta ve kontrol altyapısı normal şekilde çalışmaya devam ediyor ve botnet’teki botlara ek eklentiler, web enjeksiyonları ve ek yapılandırmalar sunuyor”. “Bu aktivite, herhangi bir yeni kampanya olmamasına rağmen, bu çaba aslında otomatikleştirilmiş olsa bile, Trickbot’un komuta ve kontrol altyapısını sürdürmek için bir miktar çaba gösterildiğine dair kanıtlar olduğunu gösteriyor.”
Intel 471, grubun ayrıca yüksek değerli hedeflere gizli erişim sağlamak için Bazar arka kapı kötü amaçlı yazılımını kullandığını belirtti.
Trickbot grubunun odak noktasındaki değişiklik, siber suçlu gruplarının uyarlanabilirliğini gösterirken, aynı zamanda savunucuların faaliyetlerinin bir etkisi olabileceğini de gösteriyor.
Otto, “Kolluk yaptırımı eylemleri genellikle siber suçlulara maliyet getirir, ancak bunlar göz ardı etmeye, planlarını yeniden formüle etmeye ve saldırı başlatmak için yeni bir yol bulduklarını hissettiklerinde geri dönmeye çalışacaklardır” diyor.
Şirketler, büyük kötü amaçlı yazılım kampanyalarının arkasındaki gruplardaki güncellemelerin ve daha iyi hazırlanmak için taktiklerinin farkında olmalı, diye ekliyor. Trickbot’un arkasındaki grup, 2015 yılında Dyre grubundan evrimleşti ve bu evrimi sürdürmesi muhtemel görünüyor. Otto, uzlaşmanın göstergeleri değiştikçe, savunucuların bunu kabul etmesi gerektiğini söylüyor.
“Trickbot’un kanıtını bulmak,” diyor, “saldırganların kuruluşunuzu hedef aldığını ve muhtemelen daha fazla saldırı için zemin hazırladığını gösteren ilk işarettir.”